Les acteurs de la menace ne cessent d’aiguiser leurs modes opératoires, faisant appel à des technologies avancées et élargissant les points d’entrées pour mieux compromettre leur cible finale. Une réponse à l’échelle de l’industrie a débuté avec les grands acteurs de messagerie électronique qui musclent leur sécurité, les états qui s’emparent de la question de l’utilisation de l’IA et de la sécurité en ligne. Que promet cette nouvelle année 2024 pour le paysage de la menace ?
La chaîne d’approvisionnement : une porte grande ouverte
À qui accorde-t-on généralement notre confiance dans une entreprise ? Nos fournisseurs et nos clients. Cette relation de confiance est la pierre angulaire du monde de l’entreprise, et nous ne pouvons pas imaginer de commerce sans fournisseurs ni clients. Les cybercriminels l’ont bien compris et ciblent prioritairement les fournisseurs des grandes entreprises qu’ils tentent d’escroquer. Moins équipés pour se protéger, et bénéficiant d’accès privilégiés aux systèmes internes de leurs clients, les fournisseurs de services deviennent une cible privilégiée des cybercriminels. En témoignent par exemple les attaques menées contre Pôle Emploi par le biais de son fournisseur de Majorel et la fuite de données personnelles d’environ 10 millions de demandeurs d’emploi en France.La chaîne d’approvisionnement des organisations arrive d’ailleurs en tête de file des nouvelles exigences de cyber résilience attendues dans le cadre de la directive européenne NIS 2. Les pays membres de l’UE ont maintenant jusqu’à octobre 2024 pour la transposer dans leur législation et la mettre en application sur leur territoire, un chantier d’envergure aux enjeux immenses.
La compromission d’identité en ligne de mire des cybercriminels
Des cas récents d’attaques contre la chaîne d’approvisionnement illustrent ce changement, en montrant comment les adversaires sont passés de l’exploitation des vulnérabilités des logiciels au ciblage des vulnérabilités humaines par le biais de l’ingénierie sociale et de l’hameçonnage (« phishing »). L’utilisation innovante de l’IA générative, en particulier sa capacité à améliorer les techniques de phishing (en utilisant la langue natale de la victime par exemple), illustre cette évolution vers la manipulation du comportement humain plutôt que l’exploitation des faiblesses technologiques.Dans notre monde toujours plus connecté, avec des terminaux toujours plus puissants et indispensables dans nos poches, les campagnes d’ingénierie sociale multicanal toucheront de plus en plus les utilisateurs sur leurs appareils mobiles. Au-delà des attaques maintenant bien connues par SMS, se sont désormais la mise en place de QR codes ou d’appels vocaux frauduleux qui deviendront les canaux d’attaque privilégiés par les cybercriminels. Cela rend non seulement les attaques d’hameçonnage plus efficaces sur les appareils mobiles, mais complique également la détection pour les équipes de sécurité des entreprises.
En 2024, il est évident que les acteurs de la cybermenace possèderont encore et toujours les capacités et les ressources nécessaires pour adapter leurs tactiques en réponse aux mesures de sécurité renforcées telles que l’authentification multifactorielle (MFA) par exemple. Les entreprises devront être en mesure de protéger non seulement les informations d’identifications, mais aussi toutes données liées telles que les cookies et les clés d’accès ainsi que remédier aux erreurs de configuration, notamment lorsqu’il s’agit de comptes à privilèges.
L’IA au service du crime organisé
Les développeurs de logiciels malveillants (les « malware ») exploitent les outils opensource et l’IA générative, rendant les techniques de programmation avancées accessibles à un public plus large. Il est maintenant possible de lancer une attaque sans avoir besoin d’écrire une seule ligne de code, et cette démocratisation ouvre un véritable boulevard aux développeurs moins qualifiés, ce qui contribue à la prolifération de familles de logiciels malveillants plus sophistiqués, et plus proliférateurs.En août dernier, les chercheurs Proofpoint révélaient la vaste campagne de phishing automatisé, s’appuyant sur le malware EvilProxy et ciblant majoritairement des cadres, des chefs d’entreprise ou des salariés en charge d’informations sensibles ou d’actifs financiers. L’outil, facturé 400 dollars par mois sur le darknet, a été utilisé pour envoyer pas moins de 12 000 courriels malveillants à plus d’une centaine d’organisations au cours de l’été. L’évolution du modèle de « phishing as-a-service » s’est donc confirmée cette année, et le développement des technologies d’IA générative devrait d’autant plus soutenir cette tendance.
Les grands acteurs musclent les défenses, la France et l’Europe prennent des initiatives légales
Face à la montée des cyberattaques, les grands acteurs de la messagerie électronique musclent leur sécurité. En effet, Google et Yahoo ont annoncé qu’à partir de février 2024, ils exigeraient l’authentification SPF et DKIM des courriels pour recevoir des messages sur leurs plateformes. Ces exigences de sécurité s’appliqueront en particulier aux comptes envoyant d’importants volumes de courriels par jour (plus de 5000) qui devront, entre autres, déployer le protocole d’authentification DMARC (pour Domain-based Message Authentication, Reporting&Conformance) au risque sinon d’impacter significativement la délivrabilité des messages légitimes envoyés aux comptes Gmail et Yahoo. Cette annonce est une première étape indiquant que des mesures importantes sont prises et qui implique une mise à niveau très rapide des entreprises.L’état français aussi a entamé des projets de loi pour renforcer la sécurité en ligne. Le 17 octobre dernier, l’Assemblée nationale adoptait en première lecture, avec modifications, le projet de loi SREN visant à sécuriser et réglementer l’espace numérique. Députés et sénateurs doivent désormais se réunir en commission mixte paritaire pour s’accorder sur une version finale du texte de loi. Cependant, le projet de loi SREN est devenu la cible directe de l’exécutif européen, jugeant que le projet de loi relève du champ d’application du Digital Services Act (DSA). Il semble évident que la réglementation sera encore au cœur des débats en 2024, avec des échéances imposées par l’agenda de l’Union.
Autre projet visant à réglementer l’utilisation de l’Intelligence artificielle, le parlement européen est parvenu à un accord, appelé AI Act et visant à cadrer juridiquement l’utilisation de l’IA générative. Ce texte qui entrera en vigueur « au plus tôt en 2025 », laisse un flou juridique jusqu’à sa mise en place. En effet, la notion d’IA responsable n’étant pas encore précisément qualifiée, il n’existe pas non plus de régime de responsabilité juridique spécifique à l’IA dans l’UE.
Par Loïc Guézo, Directeur de la stratégie cyber en Europe chez Proofpoint